காட்டு அழுத்தம் APT

2019 ஆம் ஆண்டில், மத்திய கிழக்கில் தொழில் தொடர்பான இலக்குகளுக்கு எதிராக முழு அளவிலான ட்ரோஜன் அச்சுறுத்தலைப் பயன்படுத்திய அச்சுறுத்தும் பிரச்சாரம், பிராந்தியத்தில் ஏற்கனவே நிறுவப்பட்ட அச்சுறுத்தல் நடிகர்களின் TTPகளுடன் (தந்திரங்கள், நுட்பங்கள் மற்றும் நடைமுறைகள்) பொருந்தவில்லை. இதன் விளைவாக, புதிதாக நிறுவப்பட்ட ஏடிபி (மேம்பட்ட பெர்சிஸ்டண்ட் த்ரட்) குழுவிற்கு வைல்ட் பிரஷர் என்ற பெயர் கொடுக்கப்பட்டது.

இந்த ஆரம்ப செயல்பாட்டிலிருந்து, ஹேக்கர்கள் தங்கள் தீங்கு விளைவிக்கும் கருவிகளின் ஆயுதங்களை விரிவுபடுத்துவதற்கும் மேம்படுத்துவதற்கும் நிறைய முயற்சிகளைச் செய்ததாகத் தெரிகிறது. உண்மையில், WildPressure இன் அறிகுறிகளைக் கொண்ட ஒரு புதிய பிரச்சாரம், இதுவரை கண்டிராத பல தீம்பொருள் அச்சுறுத்தல்களைப் பயன்படுத்துகிறது, அவற்றில் ஒன்று மேகோஸ் அமைப்புகளை சமரசம் செய்யும் திறன் கொண்டது. பாதிக்கப்பட்டவர்கள் மீண்டும் மத்திய கிழக்கைச் சேர்ந்தவர்கள் மற்றும் அவர்கள் எண்ணெய் மற்றும் எரிவாயு துறையுடன் தொடர்புடையவர்கள் என்ற தற்காலிக மதிப்பீட்டில் உள்ளனர்.

WildPressure அதன் உள்கட்டமைப்பையும் பல்வகைப்படுத்தியுள்ளது. 2019 ஆம் ஆண்டின் செயல்பாடு VPS (மெய்நிகர் தனியார் சேவையகங்கள்) கொண்டது, தற்போதைய பிரச்சாரத்தில் சமரசம் செய்யப்பட்ட பல முறையான வேர்ட்பிரஸ் தளங்களும் அடங்கும். அவற்றில் 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu,' மற்றும் 'hxxp://www.mozh[.]org.'

Milum ட்ரோஜன்

அசல் ட்ரோஜன் அச்சுறுத்தல் வைல்ட் பிரஷரால் கைவிடப்பட்டது. இது C++ இல் எழுதப்பட்டுள்ளது மற்றும் அதன் கட்டமைப்பு தரவுகளுக்கு JSON வடிவமைப்பைப் பயன்படுத்துகிறது. அதே வடிவம் கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகத்துடனான தொடர்பிலும் பயன்படுத்தப்படுகிறது. Milum இல் காணப்பட்ட ஒரே குறியாக்கம் RC4 ஆகும், ஆனால் அச்சுறுத்தல் ஒவ்வொரு பாதிக்கப்பட்டவருக்கும் வெவ்வேறு 64-பைட் விசையைப் பயன்படுத்துகிறது. சமரசம் செய்யப்பட்ட சாதனத்தில், ட்ரோஜன் ஒரு கண்ணுக்கு தெரியாத கருவிப்பட்டி சாளரத்தின் வடிவத்தை எடுக்கும். பெறப்பட்ட கட்டளைகளைச் செயல்படுத்துதல், சர்வரில் தரவைப் பதிவேற்றுதல், கோப்பு மற்றும் கணினி விவரங்களைப் பெறுதல், கணினியிலிருந்து மிலுமை அகற்றும் ஒரு தொகுதி ஸ்கிரிப்டை உருவாக்குதல் மற்றும் செயல்படுத்துதல் மற்றும் ஹேக்கர்களால் புதிய பதிப்பு வெளியிடப்பட்டால் தன்னைப் புதுப்பித்தல் ஆகியவை இதன் அச்சுறுத்தும் திறன்களில் அடங்கும்.

காவலர் ட்ரோஜன்

இந்த தீம்பொருள் அச்சுறுத்தல் பைத்தானில் எழுதப்பட்டுள்ளது மற்றும் விண்டோஸ் மற்றும் மேகோஸ் சிஸ்டம் இரண்டையும் பாதிக்கலாம். அதை உருவாக்கும் போது, WildPressure ஹேக்கர்கள் பெரிதும் ஈர்க்கப்பட்டு பொதுவில் கிடைக்கும் மூன்றாம் தரப்பு குறியீட்டை நம்பியதாக தெரிகிறது. ஒட்டுமொத்தமாக அச்சுறுத்தல் மற்ற WildPressure கருவிகளுடன் நிறைய ஒற்றுமைகளைப் பகிர்ந்து கொள்கிறது, குறிப்பாக குறியீட்டு பாணி, அதன் வடிவமைப்பு மற்றும் C2 தொடர்பு நெறிமுறைக்கு வரும்போது. இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் காவலர் ட்ரோஜன் இன்னும் செயலில் வளர்ச்சியில் இருப்பதாக நம்புகின்றனர்.

மேகோஸ் சாதனங்களில் குறிப்பாகச் செயல்படுத்தப்பட்ட முதல் செயல்பாடுகளில் ஒன்று, ட்ரோஜனின் மற்றொரு நிகழ்வு ஏற்கனவே இயங்கவில்லையா என்பதைத் தீர்மானிப்பதாகும். நிலைத்தன்மையின் பொறிமுறையானது புரிந்துகொள்ளத்தக்க வகையில் வேறுபட்டது. விண்டோஸ் சாதனங்களில், ட்ரோஜன் ஒரு RunOnce ரெஜிஸ்ட்ரி கீ மென்பொருள்\Microsoft\Windows\CurrentVersion\RunOnce\gd_system ஐ உருவாக்குகிறது. இருப்பினும், MacOS அமைப்புகளுக்கு, Guard ஒரு XML ஆவணத்தை டிகோட் செய்து பின்னர் ஒரு plist கோப்பை உருவாக்குகிறது. தீம்பொருள் தானாகவே இயங்குவதற்கு $HOME/Library/LaunchAgents/com.apple.pyapple.plist இல் அந்தக் கோப்பின் உள்ளடக்கங்களைப் பயன்படுத்துகிறது. OS ஐப் பொறுத்து கணினி பற்றிய விவரங்களைப் பெறுவதற்கான தனி முறைகளையும் அச்சுறுத்தல் பயன்படுத்துகிறது. அதன் திறன்களைப் பொறுத்தவரை, மீறப்பட்ட கணினியில் கூடுதல் கோப்புகளைப் பதிவிறக்கவும், C2 சேவையகத்தில் ஆர்வமுள்ள கோப்புகளைப் பதிவேற்றவும், கட்டளைகளை இயக்கவும், புதிய பதிப்பைப் பெறவும் அல்லது கணினியில் இருந்து அதன் தடயங்களை அகற்ற ஒரு சுத்தப்படுத்தும் நடைமுறையைச் செய்யவும் காவலருக்கு அறிவுறுத்தப்படலாம்.

Tandis ட்ரோஜன்

டான்டிஸ் ஒரு சுய-மறைகுறியாக்க VBScript அச்சுறுத்தலாகும். கார்ட் ட்ரோஜனுடன் ஒப்பிடும்போது, டான்டிஸ் விண்டோஸ் சிஸ்டங்களை மட்டுமே குறிவைக்கிறது மற்றும் WQL வினவல்களை பெரிதும் நம்பியுள்ளது. இருப்பினும், இல்லையெனில், அதன் செயல்பாடு பெரும்பாலும் காவலர் மற்றும் பிற வைல்ட் பிரஷர் அச்சுறுத்தல்களுடன் ஒத்துப்போகிறது. இது சிஸ்டம் ரெஜிஸ்ட்ரிகள் மூலம் நிலைத்தன்மையை அடைகிறது மற்றும் திருட்டுத்தனமாக கட்டளைகளை இயக்கும் திறன் கொண்டது, கணினியில் கூடுதல் பேலோடுகளை கைவிடுவது, தேர்ந்தெடுக்கப்பட்ட கோப்புகளை பதிவேற்றுவது, தன்னைத்தானே புதுப்பித்துக்கொள்வது, ஒரு சுத்தப்படுத்தும் வழக்கத்தை இயக்குவது மற்றும் ஹோஸ்டில் கைரேகை எடுப்பது. மேலும் குறிப்பாக, டிஃபென்டரைத் தவிர அனைத்து நிறுவப்பட்ட பாதுகாப்பு தயாரிப்புகளையும் டான்டிஸ் தேடுகிறது.

தீங்கிழைக்கும் C++ செருகுநிரல்கள்

C++ இல் எழுதப்பட்ட பல எளிமையான ஒன்றோடொன்று இணைக்கப்பட்ட தொகுதிகள் கண்டுபிடிக்கப்பட்டுள்ளன. அவை ஒரு ஆர்கெஸ்ட்ரேட்டர் மற்றும் குறிப்பிட்ட பணிகளைச் செய்யும் பல செருகுநிரல்களைக் கொண்டிருக்கின்றன. மீறப்பட்ட சாதனத்தில் 'thumbnail.dat' எனப் பெயரிடப்பட்ட உள்ளமைவுக் கோப்பு உள்ளதா என்பதை முதன்மை தொகுதி (ஆர்கெஸ்ட்ரேட்டர்) சரிபார்க்கிறது. இந்த கோப்பின் சரியான இடம் Windows OS இன் பதிப்பைப் பொறுத்து மாறுபடும். ஆர்கெஸ்ட்ரேட்டர் ஒவ்வொரு இரண்டு நிமிடங்களுக்கும் இயங்குகிறது மற்றும் ஒரு குறிப்பிட்ட செருகுநிரலை இயக்க தேவையான தகவலுக்காக உள்ளமைவு கோப்பை ஸ்கேன் செய்கிறது.

சிதைந்த செருகுநிரல்கள் டிஎல்எல் வடிவத்தை எடுக்கும். கண்டுபிடிக்கப்பட்ட செருகுநிரல்களில் ஒன்று WQL வினவல்கள் மூலம் கணினியைப் பற்றிய மிக விரிவான தகவல்களைப் பெறும் திறன் கொண்டது. சேகரிக்கப்பட்ட தரவு OS பதிப்பு, நிறுவப்பட்ட OS hotfixes, BIOS மற்றும் HDD உற்பத்தியாளர்கள், நிறுவப்பட்ட மற்றும் தற்போது இயங்கும் மென்பொருள் தயாரிப்புகள், நிறுவப்பட்ட மற்றும் இயங்கும் பாதுகாப்பு தயாரிப்புகள், பயனர் கணக்குகள், நெட்வொர்க் அடாப்டர்கள் அமைப்புகள் மற்றும் பலவற்றை உள்ளடக்கியது. இரண்டு கூடுதல் செருகுநிரல்கள் கீலாக்கிங் நடைமுறைகளை நிறுவுவதில் பணிபுரிகின்றன. முதலாவது WH_KEYBOARD_LL ஹூக்கை அமைக்கிறது, பின்னர் கீஸ்ட்ரோக்குகளைப் பிடிக்கவும், கிளிப்போர்டு உள்ளடக்கம் மற்றும் விண்டோஸ் தலைப்புகளை இடைமறிக்கவும் முடியும். WH_MOUSE_LL ஹூக்கை அமைப்பதன் மூலம் டைமர் மற்றும் மவுஸ் நிகழ்வுகளைப் பொறுத்து கணினியின் ஸ்கிரீன் ஷாட்களை எடுப்பதற்கு மற்ற செருகுநிரல் பொறுப்பாகும்.